民用飞机安全性分析研究
2015-10-09李伟郑智明
李伟 郑智明
摘 要:该文对民用飞机研制过程中的安全性评估过程进行了研究。在民用飞机研制过程中,安全性评估包括支持飞机研制活动的各项要求的产生和验证,提供对飞机功能以及执行这些功能的设计进行评价的方法,以确认相关的危害被正确的提出,通过适当的安全性分析和评估方法进行验证,并对安全性分析结果进行反馈,从而对飞机设计进行修改以及重新验证的迭代过程。安全性评估过程对于建立系统的相应安全性目标和确定设计以满足这些目标非常重要。
关键词:民用飞机 研发过程 安全性分析 故障树 共因分析
中图分类号:F273.2 文献标识码:A 文章编号:1672-3791(2015)07(a)-0049-02
1 民用飞机安全性分析流程概述
民用飞机安全评估过程必须进行合理计划和有效管理,并贯穿于系统研发的整个过程,从飞机概念设计阶段开始,提出相关的安全性需求,对设计过程进行指导和评估,修改设计,再评估,交互迭代进行,最终以证明设计能满足安全性需求而结束。
安全性评估必须考虑所有失效状态,以及产生失效状态的失效组合。综合系统的安全性评估同时要考虑到系统综合产生的任何额外的和关联性。图1给出了安全性评估的过程以及方法,上部为研制周期时间线,下部表明安全性评估过程相对研制过程的关系。
在研制周期开始时进行危险性评估(FHA),对系统功能和功能组合相关的失效状态并进行分类。进行FHA的目的在于明确识别每一失效状态以及分类理由,并将FHA的输出作为初步系统安全性评估(PSSA)的起始点。
PSSA对设计的系统构架进行检查,以确认失效造成FHA中定义的功能危害方式。PSSA的目的是建立系统的安全性需求并确认可满足FHA中定义的安全性目标的设计架构。
系统安全性评估(SSA)是对系统安全性的全面的评估,以表明系统安全性可满足FHA中定义的安全性目标以及PSSA中定义的衍生安全性要求。
共因分析(CCA)应通评估系统对共因事件的敏感度,支持系统架构以及相关系统架构的研制。这些共因事件通过完成特定风险分析,区域安全性分析和共模分析进行评估。共因分析的结果将输送到PSSA和SSA中。
当系统级SSA的结果相对于系统级和飞机级FHA被验证时,系统级安全性评估过程便结束。
2 民用飞机安全性分析流程
系统安全性分析工作是将由飞机级向下分解与由系统/设备级向上反馈两个过程相结合不断迭代完成的。飞机级安全性计划从管理的角度明确了飞机级安全性分析的流程、步骤和具体方法,一方面对飞机级的安全性分析工作(FHA/PSSA/SSA)提出了要求,另外一方面作为系统级安全性项目计划的输入文件,为系统级安全性项目流程和方法提供依据。
系统级的主要分析工作由FHA/PSSA/SSA三部分组成,FHA主要明确系统级的失效状态和失效状态的安全性影响等级;PSSA主要以系统的架构为基础,将FHA中定义的失效状态以及失效状态的安全性等级以故障树的形式向下分解到子系统或者设备;SSA根据子系统或者设备的固有安全性指标,按照系统确定的架构的逻辑关系由下向上进行安全性指标验算,将验算的指标与失效状态的顶层要求进行对比,如果系统的设计指标能够满足顶事件相应的安全性等级要求,则证明该系统架构符合安全性设计要求。如果系统的设计指标不能满足顶事件相应的安全性等级要求,则需要对架构进行相应的调整、优化,随后再将上述整个过程进行循环迭代,直到系统的设计指标满足顶事件的安全性要求为止。
2.1 功能危险性评估(FHA)
功能危险性评估是一个自上而下的分析方法,FHA是系统安全性评估的顶层文件,主要目的是确定功能及其失效状态并评估其影响。FHA的输出是安全性要求产生和分配的起始点。
飞机级FHA对飞机基本功能进行的评估,确定飞机级功能相关的失效状态并进行分类,建立飞机必须满足的安全性要求。系统级的FHA也定性评估,这种评估实质上也是不断迭代更新的过程,应随着系统设计的逐渐进展而变得明确和固定。系统级FHA考虑影响飞机功能的失效或失效组合。每个组件的研制保证等级取决于系统或组件相对系统所执行的功能产生的失效影响。
在设计过程中,将飞机功能分配到飞机各个系统后,综合了多重飞机功能的每个系统必须使用系统级FHA过程重新检查。对特定硬件或软件项目的评估不是系统级FHA的目的,但如果分离的系统或子系统使用相似的构架或相同的复杂部件,并且引起附加的系统级故障条件,则应对系统级FHA进行更改以包含它们并对其进行分类。
2.2 初步系统安全性评估(PSSA)
各系统的初步系统安全性评估(PSSA)在各系统级FHA文件的基础上进行。PSSA初步建立了系统安全要求并且确定了系统架构能够满足在FHA中提出的安全目标。同时,在系统PSSA的分析评估工作中,也进一步验证FHA中的功能危险等级,随着详细设计的开展,系统级FHA还将不断更新。
PSSA是整个研制过程中的一个迭代分析过程,它是开始于设计阶段的初期,将飞机功能及其要求分配到系统级的过程。然后,将系统级要求分配到组件,最后将组件要求分配到硬件和软件。
PSSA应从系统FHA中识别出对失效状态有贡献的失效。可使用FTA分析或其它方法来识别导致失效状态可能起什么用的因素。在PSSA中应包含硬件失效和可能的硬件/软件差错,以及由共因产生的故障,以表明它们所起的作用以及衍生必要的系统和组件安全性要求。应仔细考虑可能的潜在故障和其相关的暴露时间。
系统级PSSA过程有两个主要输入,即飞机FTA和系统级FHA。飞机FTA确定关注的功能失效。系统FHA给出下一步所需的失效状态和分类。共因分析(CCA)对飞机FTA作补充,以产生用于系统FTA的顶层失效影响。CCA还建立系统要求,诸如需要由系统设计实施的功能冗余度、功能隔离和功能独立性。
系统级初步安全性评估(PSSA)是对系统架构进行核查,以确定失效导致由FHA所定义的危险性,以及如何满足FHA的要求。PSSA过程与设计定义相互作用迭代并完成更新。
2.3 系统安全性评估(SSA)
系统安全性评估是对所实现的系统进行系统性的综合评价,用来检验系统、结构和安装满足相关的安全性要求。系统安全性评估过程与PSSA的活动相似但是范围有所不同,PSSA是评价所提议的构架并导出系统/组件安全性要求的方法;而SSA是综合各种分析结果,以验证所实现的系统满足在FHA和PSSA中所定义的定性和定量的安全性要求。系统安全性评估过程包括以下内容:(1)检验在系统级FHA中建立的安全性要求被满足;(2)确认与验证建立的飞机级失效状态影响等级是合理的;(3)检验在飞机级安全性要求和目标中强调的、或者从飞机级安全性要求和目标中得到的安全性要求被满足;(4)检验在CCA过程中识别的设计要求被满足。
3 安全性分析方法
3.1 故障树分析(FTA)
故障树分析是一种自上而下的分析技术。这些分析通过依次展开更详细(低一级)的设计层次向下进行。
当确认FHA中的故障状态后,可将FTA用作PSSA的一部分,以便确定在可能导致每个失效状态的较低层面上存在的(如果有的话)单一失效或失效的组合。当执行FMEA/FMES时,应完成一种比较,以确保识别的所有重大影响在FTA中作为基本事件。FTA的基本事件从FMEA和/或FMES得到它们的失效率。
3.2 失效模式和影响分析(FMEA)
FMEA是一种系统性的自下而上的分析方法,用来识别系统、组件或功能的失效模式并确定对更高层次的影响,可以在系统内任何层次(例如零部件或功能等)上执行。使用功能FMEA方法,也可对软件进行定性分析。通常,FMEA用来阐明单一失效所引起的失效影响。
3.3 失效模式和影响摘要(FMES)
FMES是对产生相同失效影响的各单一失效模式进行的编组(即一个特有的失效影响具有一个单独的失效模式组)。可由制造商、系统综合商或设备供应商的FMEA汇编而成FMES。此外,FMES应与用户协调,以充分论及更高层次FMEA和/或系统安全性评估FTA的输入需求。
3.4 共因分析(CCA)
可以要求功能、系统或组件这间的独立性,以满足安全性要求。因此,有必要确保这种独立性的存在或确认与独立性相关的风险是可以接受的。共因分析(CCA)提供工具验证这种独立性或识别具体相关性的方法。
参考文献
[1] SAE ARP4761 GUIDELINES AND METHODS FOR CONDUCTING THE SAFETY ASSESSMENT PROCESS ON CIVIL AIRBORNE SYSTEMS AND EQUIPMENT,SAE,1996.
[2] SAE ARP4754 GUIDELINES FOR DEVELOPMENT OF Civil Aircraft and System,SAE,1996.
[3] 25.1309-1A System design and Analysis,FAA,1988.